На киберфронте без перемен
Как завершается год для хакеров и их жертв
Подводя предварительные итоги 2025 года, эксперты в области кибербезопасности констатируют качественное изменение угроз: атаки становятся целенаправленнее и разрушительнее, а их продолжительность растет. Финансовый ущерб для бизнеса увеличивается — максимальный запрошенный выкуп достиг 400 млн руб., что на 67% выше показателей прошлого года. Киберпреступные группировки окончательно структурировались, переняв модели легального IT-бизнеса, а искусственный интеллект перешел из разряда гипотетических рисков в рабочий инструмент обеих сторон.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
В предварительных итогах 2025 года в сфере кибербезопасности ИБ-специалисты сходятся во мнении, что рост числа инцидентов сохраняется, однако оценки его динамики среди экспертов разделились. С одной стороны, по данным центра мониторинга киберугроз компании «Спикател», за десять месяцев года число атак увеличилось на 38% по сравнению с аналогичным периодом 2024-го, до 16 тыс. инцидентов. Директор по продуктам Servicepipe Михаил Хлебунов подтверждает, что и количество инцидентов продолжает расти, и профессионализм злоумышленников повышается.
Более сдержанную и, по всей видимости, более обоснованную оценку дают эксперты крупных игроков рынка. Руководитель департамента комплексного реагирования на киберугрозы экспертного центра безопасности Positive Technologies Денис Гойденко полагает, что гипотеза об экспоненциальном росте не подтверждается: «Подобной динамики не наблюдалось, и предпосылок для нее не было. Однако устойчивый линейный рост действительно присутствует». Эту точку зрения разделяет директор центра информационной безопасности «Инфосистемы Джет» Андрей Янкин. «Рост числа атак действительно продолжается, но скорее линейно. При этом качественные изменения очевидны: основной ущерб сегодня наносят шифровальщики и вайперы (уничтожают данные без возможности восстановления.— “Ъ”)»,— отмечает господин Янкин. Гендиректор VolgaBlob Александр Скакунов добавляет, что для крупных компаний и госсектора вызовы года заключаются не в увеличении числа атак, к которому уже привыкли, а в повышении их сложности и большей направленности.
Финансовая мотивация остается ключевой для злоумышленников. По данным Михаила Хлебунова, около 60% атак совершаются ради выкупа или кражи средств. При этом, как отмечает CEO компании F6 Валерий Баулин, максимальная запрошенная сумма первоначального выкупа в 2025 году увеличилась на 67%, составив 400 млн руб. Андрей Янкин акцентирует внимание на изменении модели атак: «Большинство теперь нацелены не просто на получение выкупа, а на полное уничтожение инфраструктуры с целью сделать восстановление невозможным и парализовать операционную деятельность жертвы». По его словам, средняя продолжительность простоя выросла, так как атакующие действуют скрытно и методично, не раскрывая себя, пока не добрались до систем резервного копирования и виртуализации.
Эволюция кибергруппировок, по мнению экспертов, в первую очередь вымогателей, продолжается в сторону большей структуризации и профессионализма. «Действительно, тренд последнего года — группы киберпреступников все чаще демонстрируют бизнес-подход, то есть ведут себя как коммерческие организации: масштабируют успешные атаки, оптимизируют ресурсы, оказывают "услуги", продают инструменты, инвестируют в инфраструктуру»,— констатирует господин Хлебунов. Валерий Баулин развивает эту мысль: «Финансово мотивированные киберпреступные группировки, включая вымогателей, шифровальщиков, скамеров, выстраиваются по модели самой современной IT-компании. В их структуре действуют отдельные подразделения, которые занимаются техническими вопросами, такими как разработка, R&D, техническая поддержка, пентесты, и обеспечением деятельности». Александр Скакунов приводит в пример появившуюся у вымогателей подписную модель, в рамках которой пострадавший может купить годовую гарантию, что утекшая база или чувствительные данные не будут опубликованы. «Некий сертификат, скрепленный кодексом хакерского слова, с одной стороны, и платежом в криптовалюте — с другой»,— добавил он.
Наибольшую опасность, по мнению Валерия Баулина, представляют так называемые группы двойного назначения, которые могут, с одной стороны, атаковать жертву и требовать у нее выкуп, как традиционный киберкриминал, а в другом случае — проводить кибердиверсии без требования денег из-за идеи, поскольку аффилированы со спецслужбами других стран.
Практически все эксперты едины в оценке самого слабого звена в защите компаний. «Это люди. В частности, причиной 74% утечек данных прямо или косвенно был человеческий фактор»,— заявляет Михаил Хлебунов. Руководитель направления аналитических исследований в Positive Technologies Ирина Зиновкина подтверждает, что социальная инженерия как была, так и остается одним из основных методов атаки, что говорит о недостаточной подготовке сотрудников. Технический директор «Лаборатории Касперского» в России Евгений Бударин в качестве самой типичной ошибки называет «ненадлежаще невнимательное взаимодействие корпоративных пользователей с внешними ресурсами». Андрей Янкин видит проблему шире: «Если говорить об общих ошибках, то это инерция мышления. Злоумышленник воспринимается как неодушевленный вирус, который будет бессмысленно ломиться в периметр компании. На деле это живые люди, которые делают все, чтобы не выдать себя раньше времени».
Угрозы для критической информационной инфраструктуры (КИИ) и госсектора остаются на высоком уровне. «По официальным данным, две трети всех атак направлены на КИИ»,— говорит Михаил Хлебунов. Ирина Зиновкина уточняет, что во второй половине 2024-го и первых трех кварталах 2025 года наибольшее количество кибератак пришлось на промышленные организации (17%) и государственный сектор (11%). Эксперт по информационной безопасности «Инфосистемы Джет» Никита Мусиенко отмечает, что именно КИИ, включая госсектор, остается главной мишенью и ключевой угрозой является технологическая зависимость от иностранного программного обеспечения, обновление которого в большинстве случаев стало невозможным.
Статистика инцидентов демонстрирует четкую отраслевую и векторную картину угроз. По словам Михаила Хлебунова, наиболее часто под удар попадают промышленный сектор (27% атак) и телекоммуникационные компании (24%). Среди типов атак лидируют сетевые (41%) и атаки вредоносным ПО, преимущественно шифровальщиками (35%). Валерий Баулин сообщает, что с начала года зарегистрировано 154 публикации баз данных российских компаний в Telegram-каналах и на андерграундных форумах, в открытый доступ попало около 200 млн строк данных пользователей. Лидером по утечкам стал ритейл, на который пришлось 37% публикаций. При этом, как уточняет Денис Гойденко, доля атак через подрядные организации увеличилась с 15% до 28%, а доля атак, в которых злоумышленникам удалось нарушить бизнес-процессы, выросла с 32% до 55%.
Искусственный интеллект стал неотъемлемой частью кибербезопасности, выступая инструментом как для защиты, так и для нападения. «Тренд 2025 года — появление атак, выполненных практически полностью с помощью участия искусственного интеллекта почти без участия человека»,— констатирует Михаил Хлебунов. Эксперт по информационной безопасности «Инфосистемы Джет» Андрей Захаров считает, что ИИ уже перестал быть просто «новым инструментом» и постепенно превращается в ключевой драйвер трансформации всей кибербезопасности. «Формируется новая реальность, в которой ИИ-агенты защитников все чаще сталкиваются с ИИ-агентами атакующих, и обе стороны непрерывно расширяют свой арсенал»,— отмечает господин Захаров. При этом, как предупреждает Александр Скакунов, применение ИИ для кибернападения развивается быстрее, чем для защиты, что связано с низким порогом входа для ИИ-хакеров. Григорий Филатов резюмирует: «ИИ не панацея, а усилитель возможностей с обеих сторон. Ну а побеждает тот, кто внедряет технологии быстрее и грамотнее».
Главным вызовом 2026 года эксперты видят необходимость перехода от тотальной защиты к обеспечению киберустойчивости. «Главная задача 2026-го, на мой взгляд, это переход от попыток предотвратить взлом периметра к обеспечению возможности нормальной работы бизнеса в условиях неминуемых кибератак, то есть киберустойчивости. Взломают рано или поздно всех — вопрос в том, к чему это приведет: к остановке бизнеса или ограниченному ущербу и быстрому восстановлению нормальной работы»,— объясняет Андрей Янкин. Евгений Бударин в качестве ключевого риска называет рост угроз, связанных с внедрением искусственного интеллекта в корпоративную среду. Ирина Зиновкина прогнозирует, что кибератаки в 2026 году чаще будут приводить к комбинированным последствиям — одновременным утечкам данных и нарушениям бизнес-процессов, а также обращает внимание на растущие риски атак на цепочки поставок. Григорий Филатов видит вызов в комплексной проблеме на стыке кадрового дефицита, стремительной эволюции ИИ и растущих финансовых нагрузок, советуя компаниям сосредоточиться на стратегическом развитии внутреннего персонала и интеграции адаптивных платформ.